Pubblicato in Gazzetta Ufficiale del 1° ottobre 2024, n. 230 il Decreto Legislativo 4 settembre 2024, n. 138, concernente il “Recepimento della direttiva (UE) 2022/25555, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148”.
Leggi qui il Decreto sulla Gazzetta Ufficiale
Le aziende interessate dalla direttiva NIS2 devono compiere una serie di azioni per prepararsi all’entrata in vigore del Provvedimento il 16 ottobre 2024:
- VERIFICA DELLE CATEGORIE
La prima cosa che un’azienda deve fare è verificare se rientra nelle categorie di attività che hanno l’obbligo di adeguarsi alla NIS2. Ecco il documento della Gazzetta Ufficiale dell’Unione europea che contiene l’elenco delle categorie soggette alla NIS2, (leggere in particolare l’articolo 42 del Decreto Legislativo): https://www.gazzettaufficiale.it/eli/id/2024/10/01/24G00155/SG
Dal prossimo 18 ottobre 2024 ACN attiverà una piattaforma che permetterà a tutti i soggetti che ritengono di essere coinvolti nella NIS2 di “auto-registrarsi”, indicando un elenco delle proprie attività e dei propri servizi.
Di seguito consigliamo gli altri step da compiere prima del 31 marzo 2025, data in cui la Direttiva NIS2 partirà in Italia (inoltre, entro il 31 marzo 2025 l’Agenzia per la Cybersicurezza Nazionale risponderà ai soggetti essenziali e ai soggetti importanti in merito alla conformità):
- CREAZIONE DI UNA TASK FORCE DEDICATA
Il secondo passo riguarda la creazione di un team IT aziendale che possa mappare tutte le azioni già portate avanti dall’azienda in termini di cybersicurezza, studiare un programma per integrare quanto richiesto dalla direttiva NIS2 e nominare un responsabile coordinatore della task force. Nelle grandi aziende questo passo può essere gestito dal team legale e/o della sicurezza che si occupa abitualmente di certificazioni e audit perché ha sicuramente un quadro chiaro rispetto ai livelli di sicurezza, alle vulnerabilità e al patrimonio tecnologico dell’azienda.
- VERIFICA E TEST SUI SISTEMI DI SICUREZZA
Alle aziende viene richiesto di assumere un approccio proattivo nell’identificazione e nella mitigazione delle vulnerabilità all’interno dei propri sistemi informativi. Come? Testando e valutando il livello di sicurezza dell’infrastruttura IT e le sue vulnerabilità con tecniche e strumenti come il penetration test e il vulnerability assesment (solitamente vengono incaricate aziende esterne che utilizzano tecniche di hacking in grado di simulare potenziali attacchi – e quindi di prevenirli/mitigarli).
- FORMAZIONE DEL PERSONALE
Ogni azienda deve sviluppare un programma di formazione per il proprio personale sulla cybersicurezza e le pratiche ad essa connesse. Il successo di una strategia di sicurezza informatica aziendale dipende, oltre che dalle tecnologie utilizzate per tenere al sicuro i dati, anche dalla competenza e dalla consapevolezza di ogni dipendente. È quindi più che rilevante studiare un programma che coinvolga in primis le risorse umane sui temi della sicurezza cibernetica. Inoltre, vista la rapidità con cui si evolvono le tecniche di attacco cyber e crescono i rischi informatici non deve mancare l’aggiornamento costante delle competenze acquisite.
- ELABORAZIONE DI UN PIANO DI RISPOSTA AGLI INCIDENTI
Il piano di risposta agli incidenti informatici rappresenta la capacità di recupero di un’azienda a seguito di un attacco o di altre violazioni della sicurezza dei sistemi. Si tratta, come previsto dalla NIS2, di un approccio strutturato per la gestione degli incidenti. Esso comporta, ad esempio, la definizione di protocolli di comunicazione sia interna (un dipendente segnala alla propria azienda un incidente) che esterna (l’azienda informa clienti, fornitori e autorità competenti entro un lasso di tempo ristretto). Inoltre, vanno attivate le procedure di recupero e di ripristino dei sistemi e dei dati, con conseguente analisi nella fase del post-incidente.
- SCELTA DI UN PARTNER DI SUPPORTO ESTERNO (MSP)
Uno step che suggeriamo di compiere è quello di coinvolgere esperti esterni MSP che svolgono abitualmente attività di supporto IT, e nello specifico la gestione proattiva e il monitoraggio 24/7 dell’infrastruttura IT per la riduzione dei disservizi della rete e dei tempi di down-time e l’aumento dei livelli di sicurezza. Nella gestione di tutte le azioni necessarie all’adeguamento alla direttiva NIS2, il supporto esperto di un MSP può essere la chiave di volta per un percorso sereno, completo e senza stress. Ci rendiamo conto di quanto siano impegnativi questi mesi in preparazione alla NIS2 per tutti gli IT Manager e il loro team, quindi, mettiamo a disposizione le nostre competenze per agevolare il lavoro delle risorse interne all’azienda.
Una task force interna che collabora con un MSP esterno è un’ottima soluzione per essere certi di applicare tutte le indicazioni contenute nella NIS2.
Contatta Core Up per maggiori informazioni.